Datensicherheit: Trends, Relevanz und Massnahmen

Im digitalen Zeitalter ist die Datensicherheit für viele Organisationen zu einem Hauptanliegen geworden, insbesondere angesichts internationaler Regulierungen wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union oder dem US CLOUD-Act.

Die jüngsten Ereignisse rund um COVID19 haben diesem Thema aber noch viel mehr Nachdruck verleiht. In der Studie “What Happened When the World Stayed Home?” von Tanium gaben 90 Prozent der befragten deutschen Unternehmen an, dass Cyberangriffe seit Beginn der Pandemie zugenommen haben.¹ Gleichzeitig schieben aber praktisch alle Unternehmen (98 Prozent) wegen der Pandemie wichtige Sicherheitsprojekte auf – ein gefährlicher Trend. In einer Studie von HackerOne, für die 1400 Sicherheitsverantwortliche von Unternehmen mit mehr als 1000 Mitarbeitenden befragt wurden, sagten 41% der deutschen CIOs, CTOs oder CISOs, dass sie die Sicherheit der Home-Office-Arbeitsplätze und der genutzten Collaboration-Tools gegenüber anderen Applikationen hätten priorisieren müssen.² “Die Unternehmen erkennen, dass sie mit ihrer Digitalen Transformation und der Cloud-Migration zu langsam gewesen sind”, kommentierte HackerOne-CEO Marten Mickos.

Doch auch schon vor COVID19 und dem Durchbruch des Homeoffice nahm die Anzahl an Datenlecks zu: Laut dem Bundeskriminalamt (BKA) stieg die registrierte Zahl der Cyberangriffe in Deutschland im Jahr 2019 um mehr als 15 Prozent auf insgesamt 100 514 – der bisherige Rekordstand.³ Diese Zahl wird angesichts der Umfragewerte im Jahr 2020 voraussichtlich nochmals stark ansteigen. Im Jahr 2018 wurden sage und schreibe 68 % der Unternehmen Opfer von Cyberangriffen.⁴ Die Datensicherheit gilt also als eine der grössten Herausforderungen der Digitalisierung.

Die Aufbereitung und Analyse von Daten ist nicht länger eine Angelegenheit nur für "High-Tech"-Fachleute. Sie betrifft uns alle. Ob es darum geht, zu verstehen, was Cloud Computing ist, oder Daten zu sammeln, um bessere strategische Entscheidungen für das Unternehmen zu treffen – überall sind Daten involviert. Daraus folgt, dass Massnahmen zur Datensicherheit ein Thema von zunehmendem Interesse sind. Dies gilt umso mehr, wenn man die Auswirkungen betrachtet, die ein Verstoss für eine Organisation hat.

In diesem Artikel werden wir eine Definition von Datensicherheit vorlegen, den Unterschied zwischen Datenschutz und Datensicherheit klären und die Relevanz der Datensicherheit hervorheben. Wir werden auch fünf bewährte Massnahmen zur Datensicherheit präsentieren, die Ihnen helfen, Ihr Unternehmen zu schützen.

Datensicherheit: Eine Definition

Also, was ist Datensicherheit? Datensicherheit besteht aus einer Reihe von Standards und Technologien, mit deren Hilfe präventive Massnahmen, sowohl technischer als auch technologischer Art, umgesetzt werden, die die Daten eines Unternehmens vor unbefugtem Zugriff, versehentlichem Verlust, Zerstörung oder Infiltration schützen. Datensicherheit ist eine der wichtigsten Aufgaben, die IT-Abteilungen zu bewältigen haben, unabhängig davon, ob ein Unternehmen gross oder klein ist. Bei der Definition der Datensicherheit ist es wichtig, diese drei zentralen Elemente zu berücksichtigen:

• Vertraulichkeit: Daten sind nur mit Genehmigung zugänglich
• Integrität: Daten sind authentisch und genau
• Verfügbarkeit: Die Daten passen sich den Bedürfnissen eines Unternehmens an

Der Unterschied von Datenschutz und Datensicherheit

Auch wenn Datenschutz und Datensicherheit sozusagen verwandt sind, sollten diese beiden Konzepte nicht synonym verwendet werden. Datenschutz betrifft das Recht, wie personenbezogene Daten gespeichert und verwendet werden. Bei der Datensicherheit hingegen geht es um den Schutz der Daten selbst und die Art und Weise, wie dies geschieht.

Am 25. Mai 2018 verabschiedete das Europäische Parlament die DSGVO – die Datenschutz-Grundverordnung. Dieses Gesetz regelt die Verarbeitung und Erhebung von personenbezogenen Daten in der gesamten EU.⁵ Sie betrifft alle Unternehmen, ob privat oder öffentlich, die Daten sammeln oder verarbeiten, unabhängig von ihrer Grösse oder ihren Aktivitäten. Die DSGVO richtet sich an Organisationen mit Sitz auf europäischem Boden, aber auch an alle internationalen Organisationen, die Daten von in Europa ansässigen Personen erheben, selbst wenn diese Unternehmen ausserhalb der EU ansässig sind. Wenn Unternehmen den Datenschutz gewährleisten und die DSGVO einhalten wollen, müssen sie in die Datensicherheit investieren.

Nachdem wir den Unterschied zwischen Datensicherheit und Datenschutz geklärt haben, wollen wir die Bedeutung der Datensicherheit für Unternehmen besser verstehen.

Die Relevanz der Datensicherheit für Ihr Unternehmen

In nur wenigen Jahren ist die Erhebung und Nutzung von Daten für alle Unternehmen zur Selbstverständlichkeit geworden. Big Data und prädiktive Analysen bieten Möglichkeiten für ein schnelleres und strategischeres Unternehmenswachstum. Daher ist die Bedeutung der Datensicherheit von grösster Relevanz, und hier sind die Hauptgründe dafür:

1. Das Überleben des Unternehmens sichern

Stellen Sie sich vor, Sie wachen eines Morgens auf und stellen fest, dass alle Daten Ihres Unternehmens verschwunden sind. In diesem Worst-Case-Szenario ist es sehr wahrscheinlich, dass Ihr Unternehmen grosse Verluste erleiden würde – oder sogar die Existenz gefährdet wäre. Fachleute sagen voraus, dass die Menge der erzeugten Daten rasant zunehmen wird. Einem IDC-Bericht zufolge wird die globale Datensphäre bis 2025 175 Zettabyte (175 Billionen Gigabytes) erreichen. Dies entspricht einer Steigerung von 61 % gegenüber 2020.⁶ Diese Daten würden so viele Blu-ray-Discs füllen, dass ein Stapel dieser Discs 23 Mal von der Erde bis zum Mond reichen würde. 

Daten sind zum Lebenselixier der Unternehmen und ihres gesamten Ökosystems geworden. Es ist unerlässlich, sie zu schützen und für den Fall eines Verlusts einen Back-up-Plan zu haben, um die Geschäftskontinuität zu gewährleisten.

2. Das Vertrauen der Anspruchsgruppen gewinnen

Unternehmen, die Daten über Kund*innen und Mitarbeitende besitzen, haben die Verantwortung, diese zu schützen. Wenn sie den Schutz nicht garantieren, sind Unternehmen folgenden Gefahren ausgesetzt: 

• Verlust des öffentlichen Vertrauens
• Schwerwiegendes Finanzdefizit
• Schlechter Ruf
• Mögliche Gerichtsverfahren
• Geringere Gewinne in der Zukunft

Cyberangriffe kosten im Durchschnitt 200 000 Dollar. Und wenn ein Verstoss erfolgt, werden nicht wenige Unternehmen aus dem Geschäft gedrängt.⁷ Ein bahnbrechender Fall ist der von Sony mit 77 Millionen gehackten Konten auf der Playstation im Jahr 2011. Das Unternehmen sah sich mit über 50 Sammelklagen konfrontiert, und Sony’s Gesamtverlust wird insgesamt auf über 2 Milliarden US-Dollar geschätzt.⁸

Ein weiteres Beispiel für die Bedeutung der Datensicherheit ist das von den fünf grossen Kreditkartenfirmen (Visa, MasterCard, American Express, Discover und JCB), die anfangs der 2000er Jahre die sogenannten Payment Card Industry Data Security Standard einführten, um sich im Kampf gegen Hackerangriffe zu unterstützen. Die aus 12 Anforderungen zur Datensicherheit zusammengesetzte Verordnung muss von allen Unternehmen, die Debit- und Kreditgeschäfte tätigen, eingehalten werden.⁹

3. Cyberkriminalität bekämpfen

So wie die Datensicherheit hat sich auch die Cyberkriminalität weiterentwickelt, da Hackende immer raffiniertere Methoden anwenden, um Unternehmen anzugreifen. Einige dieser Angriffe werden von Bots ausgeführt oder sind programmiert. 

Ein Beispiel für eine solche Bedrohung sind die Distributed Denial of Service (DDoS)-Angriffe, bei denen Webserver mit Anfragen überschwemmt werden, bis die Website untauglich gemacht wird. Dies ist besonders lähmend, wenn der Angriff auf eine E-Commerce-Website gerichtet ist. 

Weitere Beispiele sind das “Phishing”, bei dem sich eine Person beispielsweise als Admin eines Unternehmens ausgibt, um Daten zu stehlen, oder “Ransomware”, wo Schadprogramme über präparierte E-Mail-Anhänge, Webbrowser oder Datendienste verteilt werden. 

Laut Check Point Technologies nahm die Anzahl Cyberangriffe in den ersten Wochen der COVID-19-Pandemie um 30 % zu, was Interpol und Europol dazu veranlasste, eine öffentliche Warnung herauszugeben.¹⁰ Google identifizierte während der Pandemie mehr als 18 Millionen Malware- und Phishing-Angriffe pro Tag.¹¹ Mit der dringenden (und in vielen Fällen ungeplanten) Einführung von Homeoffice ist die Situation für Unternehmen noch einiges heikler geworden. Dies zeigt einmal mehr, wie wichtig die Datensicherheit ist. Eine minimale oder gar keine Sicherheit führt dazu, dass die Tür Ihres Unternehmens für Cyberangriffe weit offen ist. 

Um dies zu verhindern, müssen sich Unternehmen schützen und in die Datensicherheit investieren. Im nächsten Abschnitt zeigen wir die wichtigsten Massnahmen zur Datensicherheit.

Welche Massnahmen zur Datensicherheit und Best Practices sollten Unternehmen anwenden?

In den meisten Fällen sehen sich Führungskräfte mit einer Flut von Informationen konfrontiert, und vor lauter Dringlichkeiten wird der Datensicherheit zu wenig Aufmerksamkeit geschenkt. Angesichts der Tatsache, dass diese unsichtbare Bedrohung sehr kostspielig sein kann, ist es von grösster Wichtigkeit, informiert zu bleiben, eine auf das Unternehmen zugeschnittene Strategie umzusetzen und Fachkräfte auf diesem Gebiet zu rekrutieren.

Laut einer Studie haben 69 % der Unternehmen ihre Sicherheitsstrategie seit drei oder mehr Jahren nicht mehr aktualisiert.¹² Eine andere Studie unter 400 kleineren und mittleren Unternehmen zeigt, dass 27 % der untersuchten Unternehmen überhaupt keine Sicherheitsprotokolle befolgen.¹³ Die Implementierung von effektiven Massnahmen zur Datensicherheit und Best Practices zur Bekämpfung neuer Hacking-Techniken ist also unerlässlich – speziell in der jetzigen Situation. Wir haben für Sie die wichtigsten fünf Massnahmen zur Datensicherheit zusammengestellt:

1. IT-Ressourcen identifizieren

Beginnen Sie damit, alle verfügbaren und schutzbedürftigen Ressourcen zu identifizieren. Machen Sie eine Bestandsaufnahme der von Ihrem Unternehmen verwendeten physischen Geräte, wie Fotokopierer, IoT-Geräte (Internet of Things), mobile Geräte und die von Dritten verwendeten Geräte. Achten Sie auf diese Ressourcen, da sie besonders exponiert sein könnten.

Nachdem die Bestandsaufnahme aller mit dem Internet verbundenen Geräte durchgeführt wurde, besteht der nächste Schritt darin, die von Ihrem Unternehmen verwendete Software und die Betriebssysteme zu identifizieren. Auf diese Weise können Sie wissen, was Sie wann ändern müssen. Systeme, die eine geringe Komplexität und eine hohe Kompatibilität mit Ihrem Unternehmen aufweisen, tragen zur Maximierung der Datensicherheit bei. 

2. Risiken ermitteln und bewerten

Sobald Sie das Inventar der Ressourcen haben, müssen Sie die Risiken bestimmen und bewerten:

• Charakterisierung der Geräte und Systeme
• Identifizierung der möglichen Bedrohungen
• Bestimmung der Risiken und Auswirkungen
• Analyse der Kontrollumgebung
• Bestimmung der Wahrscheinlichkeitsrate 
• Berechnung des Risikos und Zuweisung eines Ratings

Als nächstes priorisieren Sie die Risiken nach ihrer Dringlichkeit und Ihrer Fähigkeit, diese Probleme schnell lösen zu können. Auf diese Weise werden Sie ernsthafte Lücken in der Datensicherheit in Ihrem Unternehmen rechtzeitig schliessen.

3. Richtlinien für den Zugang festlegen

In den meisten Fällen erstrecken sich Massnahmen zur Datensicherheit auf die Nutzenden dieser Ressourcen. Wenn sie nicht entsprechend geschult werden, können sie aus verschiedenen Gründen zu einem Risiko werden. So werden Zugriffsrechte falsch angewendet, Daten mit unbekannten Quellen geteilt und genutzt oder Phishing-Angriffe nicht als solche erkannt.

Es ist möglich, diese Risiken zu begrenzen, indem die Daten des Unternehmens klassifiziert und Zugriffsrichtlinien für die Verwendung bestimmter Geräte und Systeme festgelegt werden. Durch die Festlegung von Richtlinien werden im Falle eines Angriffs nicht alle Ihre Unternehmensdaten kompromittiert. Die Hackenden haben nur Zugriff auf einzelne Daten.

Unter den Massnahmen zur Datensicherheit können wir auch auf die Verwendung der Multi-Faktor-Authentifizierung verweisen. Dies ist eine gute Möglichkeit, die Daten der Nutzenden durch Hinzufügen zusätzlicher Authentifizierungs-Schichten zu schützen. Neben einem Passwort benötigen Nutzende einen zweiten oder sogar einen dritten Authentifizierungsfaktor, um Zugang zu ihren Geräten oder Konten zu erhalten. Diese Authentifizierungen können biometrische, SMS- oder Stimm-Authentifizierung umfassen.

4. Ein Präventionsprotokoll erstellen

Leider ist kein Sicherheitssystem unfehlbar. Es ist wichtig zu wissen, wie Sie sich auf einen Angriff vorbereiten, um schnell reagieren und den Schaden für Ihr Unternehmen begrenzen zu können. Es ist wichtig, jede wiederkehrende Bedrohung (z. B. Malware, Phishing, Spamming) zu erkennen und zu wissen, wie die Betroffenen darauf reagieren müssen. Dämmen Sie die Gefahr zuerst ein, bevor Sie sie vollends eliminieren können.

Nach einem Zwischenfall müssen Sie das System, das angegriffen wurde, hinterfragen und genauestens untersuchen, was schief gelaufen ist. Massnahmen zur Datensicherheit zeigen, dass die Vorbereitung auf einen weiteren Angriff Investitionen in Systeme erfordert, die neue Risiken erkennen können. Daher tragen die Vorbereitung und die Erstellung eines präventiven Protokolls dazu bei, die Sicherheit der Daten Ihres Unternehmens zu stärken.

5. Die Verantwortlichkeiten für die Datensicherheit definieren

In den meisten Unternehmen verwaltet der*die Chief Information Security Officer (CISO) die Informations- und Datensicherheit des Unternehmens. Seine*Ihre Aufgabe besteht darin, eine Strategie zu planen und umzusetzen, die dazu beiträgt, Cyberbedrohungen zu reduzieren und die Datensicherheit zu gewährleisten. Die Sicherheitsstrategie, die der*die CISO vorlegt, muss der Komplexität aller bestehenden Vorschriften und Richtlinien gerecht werden und muss die Sicherung von Architekturen, Prozessen und Systemen beinhalten. 

Für Unternehmen ist es wichtig, eine ausgewiesene Fachkraft für Datensicherheit zu ernennen. Es ist aber auch dringend erforderlich, das Bewusstsein für die Bedeutung der Datensicherheit im ganzen Unternehmen zu schärfen und die Mitarbeitenden entsprechend zu schulen. So wissen alle im Unternehmen, wie sie im Falle eines Angriffs reagieren und wen sie im Falle eines Angriffs benachrichtigen müssen.

Einen Schritt voraus sein: Der Cyberkriminalität keine Chance lassen

Der Druck, der von internationalen Vorschriften ausgeht, und die zunehmende Bedeutung der Datensicherheit im Allgemeinen veranlassen Unternehmen dazu, immer mehr Zeit und Ressourcen in die Datensicherheit zu investieren. Von personellen bis hin zu finanziellen Ressourcen scheuen Unternehmen keine Kosten beim Management der Datensicherheit. 

Auch wenn das Thema Datensicherheit in den letzten Jahren in den Medien ausführlich behandelt wurde, hat das Thema in den letzten Monaten an Bedeutung gewonnen, da viele Unternehmen nun plötzlich mobil arbeiten. Und je mehr Unternehmen ihre Daten besser schützen, desto öfters werden Hackende neue Wege finden, um Schlupflöcher zu finden.

Letztlich geht es nicht nur um den Schutz, sondern auch um die Prävention von Cyberkriminalität. Im digitalen Zeitalter ist der Mensch immer noch der Hauptentscheidungsträger, wenn es um den Datenschutz und seine Massnahmen geht. Damit Unternehmen den Kampf gegen die Cyberkriminalität gewinnen können, müssen sie daher in Menschen mit dem notwendigen digitalen Know-how, in robuste Prozesse und in die richtige Technologie investieren.

¹ 'What Happened When the World Stayed Home?', Tanium, 2020.

² 'Corona: Ein Drittel der deutschen CISOs unter Druck', datensicherheit.de, 2020.

³ 'Zahl der Cyberangriffe auf Höchststand', ARD, 2020.

⁴ '15 Alarming Cyber Security Facts and Stats', Cybint Solutions, 2020.

⁵ 'EU-Datenschutzvorschriften', Europäische Kommission, 2018.

⁶ 'The Digitization of the World From Edge to Core', Seagate, 2018.

⁷ 'Cyberattacks now cost companies $200,000 on average, putting many out of business', CBNC, 2019.

⁸ 'Case study: Sony, Zurich and the PlayStation data breach', Herzog Fox & Neeman, Lexology, 2015.

⁹ 'Types of Data Security Standards', RSI Security, 2018.

¹⁰ 'Coronavirus cyber-attacks update: beware of the phish?', Check Point, 2020.

¹¹ 'Google saw more than 18 million daily malware and phishing emails related to COVID-19 last week', The Verge, 2020.

¹² '69 Percent of Companies' Security Solutions Are Outdated, Inadequate', eSecurity Planet, 2017.

¹³ 'The Need for Greater Focus on the Cybersecurity Challenges Facing Small and Midsize Businesses', U.S Securities and Exchange Commission, 2015.

Robert Mitson

Über den Autor

Roberts Leidenschaft ist es, wertvolle Inhalte zu kreieren. Als English Content Specialist hilft er Führungskräften aus ganz Europa zu verstehen, wie jede ihrer Sitzungen zählt.